反调试学习

最新推荐文章于 2024-10-14 16:02:43 发布
最新推荐文章于 2024-10-14 16:02:43 发布
阅读量1.4k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 点点滴滴 加密解密 文章标签: 反调试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/chence19871/article/details/45645597
本文深入探讨了INT2D指令在操作调试器OD中的特性,包括其如何触发异常及在调试过程中的行为。同时介绍了陷阱标记(TF)的设置与作用,以及如何通过PUSHFD/POPFD指令与OR指令来修改陷阱标识的TF,以实现对异常的处理。此外,文章还阐述了如何在调试情况下忽略EXCEPTION_SINGLE_STEP异常,让程序自行处理此异常。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1. INT 2D

INT 2D 原为内核模式中用来触发断点异常的指令,也可以再用户模式下触发异常。但程序调试时不会触发异常,只是忽略。在调试模式中执行完INT 2D后,下条指令的第一个字节将被忽略,后一个字节会被识别为新的指令继续执行。INT 2D的另一个特征是,使用F7 F8命令跟踪INT 2D时,程序不会停在下条指令开始的地方,而是一直运行,知道遇到断点,就像使用F9命令运行程序一样,原因在于,执行完INT 2D后,原有的代码字节顺序被打乱了,也就是说,若指令在程序执行过程中改变,则程序不能单步暂停,而是一直执行,可以将其视为一种bug。 (以上只是INT 2D指令在OD调试中的表现,其他调试器中略有不同)


2. 陷阱标记

TF 值设置为1时,CPU将进入单步执行模式。单步执行模式中,CPU执行完一条指令后出发一个EXCEPTION_SINGLE_STEP异常,然后将陷阱标记自动清零。该EXCEPTION_SINGLE_STEP异常可以与SEH技法结合,在反调试技术中用于探测调试器。


因无法直接修改EFLAGS寄存器的值,故使用PUSHFD/POPFD指令与or指令修改陷阱标识的值。在调试的情况下不会执行SEH回调。而正常运行则执行。

修改OD的调试选项,忽略(EXCEPTION_SINGLE_STEP异常),让程序来处理异常。


几种常见的反调试方法
hambaga的博客
03-08 1480
#include <Windows.h> #include <stdio.h> BOOL IsDebug1() { return IsDebuggerPresent(); } BOOL IsDebug2() { HANDLE hProcess = GetCurrentProcess(); BOOL bDebug; if (0 == CheckRemoteDebuggerPresent(hProcess, &bDebug)) { return TRUE; }
易语言-反调试模块易语言
06-29
易语言是一种基于中文编程的计算机程序设计语言,旨在降低编程技术门槛,让更多人能接触和学习编程。...对于想要在易语言中实现安全防护或有兴趣了解反调试策略的人来说,这是一个非常有价值的学习资源。
调试、反调试反调试
m0_57836225的博客
08-14 421
调试是软件开发过程中的一个重要环节,旨在发现和解决软件中的错误、优化性能、理解程序的行为和逻辑。调试工具可以让开发者跟踪程序的执行流程、查看变量的值、设置断点等。反调试是软件开发者为了防止其程序被非法调试、分析和破解而采取的一系列技术手段。需要注意的是,在未经授权的情况下对软件进行反调试反调试可能涉及违法和违软件使用协议。反调试则是试图绕过或对抗软件中的反调试机制,以便能够对程序进行调试和分析。2. 代码补丁:修改程序的二进制代码以绕过反调试检查。3. 反调试工具:专门用于应对常见反调试技术。
反调试合集
最新发布
2301_79688571的博客
10-14 1029
反调试是一种用于阻碍程序动态调试的技术,首先大致说明一下反调试的工作原理。在操作系统内部提供了一些API,用于调试器调试。当调试器调用这些API时系统就会在被调试的进程内存中留下与调试器相关的信息。一部分信息是可以被抹除的,也有一部分信息是难以抹除的。当调试器附加到目标程序后,用户的很多行为将优先被调试器捕捉和处理。其中大部分是通过异常捕获通信的,包括断点的本质就是异常。如果调试器遇到不想处理的信息,一种方式是忽略,另一种方式是交给操作系统处理。检测内存中是否有调试器的信息。
反调试总结
zhuhuibeishadiao
04-04 5430
TP:3种方法适用于win7 x64 ~ win10 一:1.恢复调试权限 2.结束11号线程 3.恢复所有线程 二:秒杀TP方法:CE使用VEH模式 结束11号线程 三:手动过TP:先于TX游戏运行OD,结束11号线程 直接附加进程 x86方法: 1.以上随便一种 + IAT HOOK Tesafe.sys MmIsAddressVaild 对挂钩函数地址进程过滤 2.以上随便一种
反调试方法---0xCC检测--检验API断点实现反调试
YANG12345_6的博客
08-25 1266
反调试 0xCC检测 软件断点的原理:调试器在对应设置断点的位置上修改该地址的字节为0xCC。若是关键位置检测到该指令,可以判断进程处于调试状态。 0xCC既可以是INT 3指令,也可以是其他指令的操作数。 API断点 API断点一般下在API的首地址处或函数返回地址处。检查这些易被下端的地址首字节是否为0xCC就可以判断程序是否正在被调试 检验代码(以MessageBoxA函数为例): #include <Windows.h> #include<iostream> using na
各种反调试技术原理与实例VC版_fallpx8_反调试_Vc_
09-29
在编程世界中,调试是软件开发过程中的关键环节,它帮助开发者识别并修复代码中的错误。然而,有些恶意软件或程序作者为了防止他们的...对于任何对软件安全或逆向工程感兴趣的开发者,深入学习反调试技术都是必要的。
VT_demo 编译修复_反调试_DEMO_VT_demo_VT_自建调试体系_
09-29
总的来说,这个项目提供了一个利用VT技术构建反调试体系的实例,旨在帮助开发者学习如何在软件中实现更高级别的安全防护,防止未经授权的调试和逆向工程。通过深入研究和实践,开发者可以提升自己在系统安全和软件...
易语言六种反调试方法源码
06-03
在这个压缩包中,包含的"易语言六种反调试方法源码"是一个很好的学习资源,让我们深入探讨这六种方法。 1. **检查调试器的存在**:这是最基础的反调试手段,通常通过检测某些系统调用来判断是否存在调试器。例如,...
去掉AlipayWallet的ptrace 反调试保护,进行lldb调试(学习demo)
03-16
2、去掉ptrace的思路: 2.1、 当程序运行后,使用 debugserver *:1234 -a BinaryName 附加进程出现 segmentfault 11 时,一般说明程序内部调用了ptrace 。 2.2、为验证是否调用了ptrace 可以 debugserver -x ...
易语言-CE或OD内存扫描/读取/修改
06-25
CE或OD内存扫描/读取/修改
【矛与盾】调戏调试器:断点技术
MyCserSoft的专栏
06-23 2390
【矛与盾】调戏调试器:断点技术【矛与盾】调戏调试器:断点技术
windbg入门初探心得之--ZwContinue之后给启动新启动的线程下断点绕过反调试技术
fjh1997的博客
02-27 2032
最近在用wgdbg逆向MFC程序,windbg打开的程序一开始进去的时候是会停在ntdll.dll的0xcc也就是int 3处。 之后一边查看栈一边step in和step out,希望能够结束程序的初始化流程,尽快到达程序入口点,当然对于有经验的师傅来说直接使用bp $exentry 就能够直接下断在程序入口点。但对于我这种小白来说,喜欢一步步调试,那么我们继续走起。 很快啊,我们看到程序进到了一个函数: KiUserApcDispacher,在这个函数里面,我们又进入了,ZwContinue,step
C/C++ 程序反调试的方法
优快云
08-18 7143
C/C++ 要实现程序反调试有多种方法,BeingDebugged,NtGlobalFlag,ProcessHeap,CheckRemoteDebuggerPresent,STARTUPINFO,IsDebuggerPresent,父进程检测,TLS 线程局部存储,RDTSC时钟检测反调试,MapFileAndCheckSum,等都可实现反调试,这里我分别编写了一些案例,基本上一锅端了。 使用W...
反调试技术总结: 静态
fa1c4的blog
03-24 682
终于, 花了三周时间(期间经历了本科最后一门期末考试)学到了高级逆向技术, 反调试 反调试 反调试有各种各样的技术, 针对不同调试器和OS版本. 同时更新很快, 日新月异, 浓缩了设计者和破解者的攻防博弈智力对抗. 分类(摘自ReverseCore50章) 主要是按静态和动态反调试技术来分类. 静态反调试技术 通过探测调试状态来反调试. 动态反调试技术 扰乱调试的跟踪功能, 使调试者无法查看代码与数据. 静态反调试 检测调试状态的方法主要有, 调试器检测法, 调试环境检测, 强制隔离调试器等. 破解方
MFC 程序调试(一)
weixin_42395476的博客
08-31 3346
一、利用简单断点进行程序调试 方法:在想要设置断点的代码行左侧击点击鼠标左键,即可添加断点,再点击就可以取消断点,如下图所示: 设置断点后,按下F5运行程序。当程序执行到断点处时就会暂停,此时可以按F10或F11键逐条执行语句,执行时有一个指针指向将要执行的语句,如下下图所示: 二、利用条件断点进行程序调试 在一个循环中如果使用简单断点来调试程序,将是非常耗时的。如果此时循环很多,则无法执行完程序。条件断点,即在条件触发时断点才生效,程序进行到暂停状态。 先设置一个简单断点,然后在断点处点击鼠标右键,如
【C语言入门】调试技巧(断点,监视汇编.......)
Pythoniiiiii的博客
05-28 3579
在很多时候,我们在写程序的过程中会发现一些非编程错误的问题,这样的问题很难直接分辨出来,但是我们可以用调试了一步一步的模拟程序运行的过程,来找出程序的错误,本篇文章将会以VS2019为例 ......
SEH异常处理机制
谈成(C/C++)
04-12 2046
1.SEH是windows操作系统提供的异常处理机制。 2.在程序中可以使用__try、__except、__finally关键来实现异常处理。 3.SEH属于系统级的异常处理,是不同于C++中try、catch的。SEH诞生的更早一些。 4.异常处理过程: 正常情况:程序执行->抛出异常->程序SEH处理函数->系统默认SEH处理函数。 调试情况:程序执行->抛出异常->调试器中断处理->程序SEH异常处理->系统默认异常处理 如果程序没有异常处理函数
反调试技术详解与实战
"这篇文档是唐久涛关于反调试技术的总结,主要涵盖了多种检查和...整体来看,这篇文档为学习和研究反调试技术提供了丰富的参考资料,包括理论知识和实践案例,对于软件安全领域和逆向工程的爱好者具有很高的学习价值。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值